CN102668502B - 一种用于欺骗检测的方法和系统 - Google Patents
一种用于欺骗检测的方法和系统 Download PDFInfo
- Publication number
- CN102668502B CN102668502B CN201080058140.4A CN201080058140A CN102668502B CN 102668502 B CN102668502 B CN 102668502B CN 201080058140 A CN201080058140 A CN 201080058140A CN 102668502 B CN102668502 B CN 102668502B
- Authority
- CN
- China
- Prior art keywords
- heartbeat
- response
- equipment
- monitored equipment
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了使得虚拟输入/输出服务器(VIOS)建立发送到目标LPAR的密码安全信号以检测冒名者或欺骗性LPAR的技术。所述安全信号或“心跳”可以被配置为互联网密钥交换/互联网协议安全(IKE/IPSec)封包(ESP)连接或隧道。在所述隧道内,VIOS对每个目标LPAR执行ping操作,且如果心跳中断,则VIOS判定是隧道中断、对应的LPAR出现故障还是发生媒体访问控制(MAC)欺骗攻击。此判定是通过发送被设计为除非被欺骗性设备接收到、否则失败的心跳来做出的。
Description
技术领域
本发明涉及对冒名者的检测。更具体地说,本发明涉及逻辑分区媒体访问控制系统中的冒名者检测。
背景技术
随着处理需求的增加,计算系统变得更加复杂,互连程度也更高。例如,可将特定计算设备分为多个逻辑分区或“LPAR”,其中每个逻辑分区包括虚拟化为单独计算机的计算设备资源子集。此外,通过诸如局域网(LAN)和因特网之类的各种网络,计算系统的互连程度变得日益更高。这种复杂性和互连性导致若干与计算机安全相关的问题。
美国专利7,386,698公开了一种用于自动定义、部署及管理逻辑分区(LPAR)计算机系统中的硬件和软件资源的方法;以及用于管理目标计算机系统的解决方案简档。美国专利7,188,198公开了一种用于实现动态虚拟通道缓冲区重新配置的方法;其具有LPAR实现和LPAR地址。美国专利6,226,744公开了用于使用智能卡在网络上认证用户的方法;其具有访问码和LPAR实现。
“Improving Data Quality:Consistency and Accuracy”(提高数据质量:一致性和准确性,Cong,G.等人,2007)和“Realization of NaturalLanguage Interfaces Using Lazy Functional Programming”(使用惰性函数式编程实现自然语言界面,Frost,RA等人,2006)公开了LPAR伪造或虚假表示及其检测(Cong等人);和/或变化环境中的LPAR实现(Frost)。
发明内容
提供了用于监视若干计算设备以检测安全攻击的方法、装置和制造方法。所公开的技术包括(除了其他内容外)建立多个密码安全通道,每个通道位于监视设备和多个被监视设备中的一个被监视设备之间,所述多个被监视设备中的每个被监视设备与唯一的地址关联;通过多个安全通道中对应于多个被监视设备中的第一被监视设备的第一安全通道将心跳(heartbeat)从所述监视设备发送到所述第一被监视设备;如果接收到对所述心跳的响应,则通过所述第一安全通道将第二心跳从所述监视设备发送到所述多个被监视设备中的第二被监视设备;以及如果未接收到对所述心跳的响应,则执行欺骗(spoofing)检测方案,包括:通过与第二被监视设备关联的地址将第二心跳发送到所述第一被监视设备;接收对所述第二心跳的响应;以及通过接收到对所述第二心跳的响应的事实,判定已发生欺骗攻击。
因此在一个方面,本发明提供一种方法,包括:建立多个密码安全通道,每个通道位于监视设备和多个被监视设备中的一个被监视设备之间,所述多个被监视设备中的每个被监视设备与唯一的地址关联;通过多个安全通道中对应于第一被监视设备的第一安全通道将心跳从所述监视设备发送到所述多个被监视设备中的第一被监视设备;如果接收到对所述心跳的响应,则通过所述第一安全通道将第二心跳从所述监视设备发送到所述多个被监视设备中的第二被监视设备;以及如果未接收到对所述心跳的响应,则执行欺骗检测方案,包括:通过与所述第二被监视设备关联的地址将第二心跳发送到所述第一被监视设备;接收对所述第二心跳的响应;以及通过接收到对所述第二心跳的响应的事实,判定已发生欺骗攻击。
因此在另一方面,本发明提供了一种计算系统,包括:处理器;与所述处理器相连的计算机可读存储介质;以及存储在所述计算机可读存储介质上并在所述处理器上执行的逻辑,用于:建立多个密码安全通道,每个通道位于监视设备和多个被监视设备中的一个被监视设备之间,每个被监视设备与唯一的地址关联;通过多个安全通道中对应于第一被监视设备的第一安全通道将心跳从所述监视设备发送到所述多个被监视设备中的第一被监视设备;如果接收到对所述心跳的响应,则通过所述第一安全通道将第二心跳从所述监视设备发送到所述多个被监视设备中的第二被监视设备;以及如果未接收到对所述心跳的响应,则执行欺骗检测方案,包括:通过与所述第二被监视设备关联的地址将第二心跳发送到所述第一被监视设备;接收对所述第二心跳的响应;以及通过接收到对所述第二心跳的响应的事实,判定已发生欺骗攻击。
本发明内容并非旨在对所请求保护的主题进行全面描述,而是旨在简单概述与其关联的某些功能。通过参考下面的附图和详细描述,所请求保护的主题的其他系统、方法、功能、特征和优点对于本领域的技术人员而言将显而易见或将变得显而易见。
附图说明
现在仅参考附图借助示例描述本发明的优选实施例,在所述附图中:
图1是适合于本发明的实施例的计算体系结构的一个示例的方块图;
图2是根据本发明的优选实施例的心跳产生和监视系统(HBGM)的方块图;
图3是对应于图2中的HBGM的设置HBGM过程的流程图;
图4是对应于图2中的HBGM的操作HBGM过程的流程图;
图5是与图4中的操作HBGM过程关联的异常处理的一个示例的流程图;以及
图6是与图4中的操作HBGM过程关联的异常处理的第二示例的流程图。
具体实施方式
本领域的技术人员将理解,本发明的各方面可以实现为系统、方法或计算机程序产品。因此,本发明的各方面可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或组合了软件和硬件方面的实施例的形式,所有软件和硬件方面在此通常被称为“电路”、“模块”或“系统”。此外,本发明的各方面可以采取体现在一个或多个计算机可读介质(在介质中具有体现在其中的计算机可读程序代码)中的计算机程序产品的形式。
根据所请求保护的主题的一个实施例涉及用于检测采用逻辑分区的系统上的攻击的程序化(programmed)方法。如在此使用的,术语“程序化方法”被定义为意指当前执行的一个或多个过程步骤;或者替代地,被启用将在将来的时刻上执行的一个或多个过程步骤。术语“程序化方法”具有三种替代形式。第一,程序化方法包括当前执行的过程步骤。第二,程序化方法包括体现计算机指令的计算机可读介质,所述计算机指令当被计算机执行时,执行一个或多个处理步骤。最后,程序化方法包括通过软件、硬件、固件或它们的任何组合被编程为执行一个或多个过程步骤的计算机系统。应该理解,术语“程序化方法”不应被构想为同时具有一个以上的替代形式,而应在替代形式的最真实意义中被构想,其中在任何给定时刻只存在所述多个替代形式中的一个。
可以使用一个或多个计算机可读介质的任何组合。所述计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是(例如但不限于)电、磁、光、电磁、红外线或半导体系统、装置、设备或上述介质的任何适当组合。计算机可读存储介质的更具体的示例(非穷举列表)包括以下项:具有一条或多条线的电连接、便携式计算机软盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦写可编程只读存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光存储设备、磁存储设备或上述介质的任何适当组合。在本文档的上下文中,计算机可读存储介质可以是任何能够包含或存储由指令执行系统、装置或设备使用或与所述指令执行系统、装置或设备结合使用的程序的有形介质。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括—但不限于—电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括—但不限于—无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
下面将参照本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,这些计算机程序指令通过计算机或其它可编程数据处理装置执行,产生了实现流程图和/或框图中的方框中规定的功能/操作的装置。
也可以把这些计算机程序指令存储在能使得计算机或其它可编程数据处理装置以特定方式工作的计算机可读介质中,这样,存储在计算机可读介质中的指令就产生出一个包括实现流程图和/或框图中的方框中规定的功能/操作的指令装置(instruction means)的制造品(manufacture)。
也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令能够提供实现流程图和/或框图中的方框中规定的功能/操作的过程。
提供了使得虚拟输入/输出服务器(VIOS)建立与目标LPAR的密码安全信号以检测冒名者(imposter)或欺骗性LPAR的技术。
所述安全信号或“心跳”可以被配置为互联网密钥交换/互联网协议安全(IKE/IPSec)封包(ESP)连接或隧道。在所述隧道内,VIOS对每个目标LPAR执行ping操作,且如果心跳中断,则VIOS判定是隧道中断,对应的LPAR出现故障还是发生媒体访问控制(MAC)欺骗攻击。
现在参考附图,图1是可以实现所请求保护的主题的计算体系结构100的一个示例的方块图。计算体系结构100包括计算设备102,所述计算设备通常包括处理器、存储器、数据总线、这些元件均未示出,但计算领域的技术人员都应非常熟悉。与计算系统102关联的处理空间被组织为多个逻辑分区(LPAR),为本示例的目的,所述逻辑分区包括LPAR130和LPAR140。如上面在发明内容中所述,LPAR是虚拟化为单独计算系统的计算资源子集。虚拟输入/输出服务器(VIOS)120与管理程序(hypervisor)100结合使得LPAR130和40以协作方式工作。
管理程序110通过可借助网络150访问的管理程序管理控制台(HMC)104被访问。HMC104与交换机106相连,该交换机通过弹性服务处理器(FSP)108与管理程序100相连。尽管未示出,HMC104通常至少包括监视器、键盘和指点设备或“鼠标”以实现与人类交互。HMC104通常还包括存储器和处理器。管理程序110通过若干虚拟局域网(VLAN)112、114和116与诸如VIOS120和LPAR130和140之类的计算系统102的其他组件进行通信连接。具体而言,在本示例中,VLAN112与虚拟以太网(VEN)123(与VIOS120关联)和VEN132(与LPAR130关联)相连。VLAN114与VEN133(与LPAR130关联)和VEN142(与LPAR140关联)相连。VLAN116与VEN122(与VIOS120关联)和VEN143(与LPAR140关联)相连。
VIOS120的VEN122和123还与提供到真实以太网(REN)124的连接的桥接器126相连。LPAR140还包括与网络152相连的REN144。应该理解,VLAN112、114和116,VEN122、123、132、133、142和143,REN124和144以及桥接器126在整个说明书中仅用作可以实现所请求保护的主题的体系结构100和计算系统102的组件的示例。换言之,如计算和通信领域的技术人员应该理解的,体系结构100、计算系统102和组件112、114、116、122、123、124、126、132、133、142和143及144为各种组件提供了很大程度的灵活性来相互通信以及通过网络150和152与用户和其他计算设备通信。
VIOS120还包括心跳产生和监视(HBGM)组件128。HBGM组件128为所请求保护的主题的一个实现提供了存储器和逻辑。下面结合图2-6更详细地介绍HBGM组件128。
图2是上面首先参考图1介绍的可用于实现所请求保护的主题的HBGM128的方块图。HBGM128包括输入/输出(I/O)模块162、数据模块164、心跳(HB)产生模块166、HB分析模块168、密码(密码的)模块170和图形用户界面(GUI)172。为下面示例的目的,假设HBGM128在与计算系统102(图1)关联的处理器上执行并存储在与计算系统102关联的数据存储(未示出)中。应该理解,所请求保护的主题可以在许多类型计算系统和数据存储结构中实现,但是为了简单起见,仅根据计算机102和系统体系结构100(图1)进行描述。进一步地,图2中的HBGM128表示是逻辑模型。换言之,组件162、164、166、168、170和172可以存储在同一个或不同的单独文件中并且可以在系统100内加载和/或执行,作为单个系统或作为通过任何可用的进程间通信(IPC)技术交互的分别的进程。
I/O模块162处理HBGM128和计算系统102的其他组件间的任何通信,包括发送HB产生模块166产生的心跳。数据模块164是信息的数据储存库,所述信息包括HBGM128在正常操作时所需的参数、设置和列表。数据模块164中存储的信息类型示例包括HBGM配置数据182、系统配置数据184、数据密钥安全列表186和数据缓存188。HBGM配置数据182存储可由用户或系统管理员设置以控制HBGM128的操作的参数(参见图3中的204)。示例包括但不限于确定在采动行动前被忽略心跳数的参数(参见图4和5)以及与授权用户相关的信息。系统配置数据184存储与计算系统102(包括HBGM128在操作期间使用的各种组件)相关的信息(参见图3中的206)。数据密钥186是用于存储实现HBGM128和计算系统102的其他组件(包括LPAR130和140)间的安全通信的会话密钥的密码安全区。数据缓存188存储HBGM128执行的处理的任何中间结果。
HB产生模块166执行用于产生从HBGM128和VIOS120(图1)和LPAR130和140发送的心跳(参见图4中的234)的逻辑。HB分析模块168分析对模块166所产生的心跳的响应,包括响应于异常或丢失的心跳而启动操作(参见图4中的238和240)。密码(密码的)模块170使用数据密钥186中存储的会话密钥,对HBGM128和计算系统102的其他组件间的通信进行加密和解密。GUI组件172可使HBGM128的管理员和其他用户与HBGM128进行交互以及定义其所需功能。替代地,用于与HBGM128进行交互的GUI可以并入到HMC104(图1)中。下面结合图3-5更详细地描述组件162、164、166、168、170、172、182、184、186和188。
图3是对应于图1和2中的HBGM128的设置HBGM过程200的流程图。在本示例中,与过程200关联的逻辑作为HBGM128(图1和2)的一部分存储在计算系统102(图1)上并在上面执行。过程200从方块202“开始设置心跳产生监视系统(HBGM)”开始并立即进行到方块204“检索HBGM数据”。在方块204中,过程200检索控制HBGM128的操作(参见图4中的230)的配置数据(参见图2中的182)。如上面参考图2所述,配置数据的示例包括但不限于确定在采取行动前被忽略心跳数的参数(参见图4和5)以及与授权用户相关的信息。
在方块206“检索系统数据”中,过程200检索与上面安装并被期望执行监视的HBGM128的系统相关的信息(参见图2中的184),包括使得HBGM128建立与每个被监视设备的通信通道的信息。此信息一般包括保护所建立通道安全的密码信息(参见图2中的186)。
在方块208“建立连接”中,HBGM128通过使用在方块204和206检索的信息建立与诸如LPAR130和140(图1)之类的每个被监视设备的安全通信通道。在本说明书其余部分中出于说明目的而使用的适当安全连接的一个示例是互联网密钥交换/互联网协议安全(IKE/IPsec)封包(ESP)连接/隧道,尽管计算或通信领域的技术人员应该知道其他适当的技术。每个被监视LPAR130和140可以共享同一IKE密钥,因为IKE协议为每个连接建立唯一的会话密钥。还可以在每个LPAR130和140和VIOS120(图1)之间使用唯一的预共享密钥。在一个实施例中,初始握手使用Diffie-Hellman来保护通信。
在方块210“是否有设置问题?”中,过程200判定方块208的通道建立活动是否已成功完成。可出现的众多可能通信问题示例之一是无法创建与特定设备的安全连接。如果检测到设置问题,则过程200进行到方块212“解决问题”,在其中,通过编程操作、通过通知执行操作的系统管理员或通过这两种方法的某种组合来解决问题。
一旦在方块212中解决完所有设置问题,或者如果过程200在方块210中判定未检测到问题,则控制进行到方块214“创建(spawn)操作过程”,在其中创建操作过程(参见图4中的230)。一旦启动操作过程,便会在方块216“通知HMC”中将此信息的通知发送到HMC104(图1)以及系统管理员、日志文件或这两者。最后,过程200进行到方块219“结束设置HBGM”,在其中,过程200完成。
图4是对应于图1和2中的HBGM128的操作HBGM过程230的流程图。与过程200(图3)类似,与过程230关联的逻辑作为HBGM128(图1和2)的一部分存储在计算系统102(图1)上并在其上执行。过程230从方块232“开始操作HBGM”开始并立即进行到方块234“轮询LPAR”。在方块234中,过程230在本示例中通过在为特定LPAR建立的IKE/IPsec ESP隧道(参见图3中的208)上发送信号或“心跳”来轮询诸如LPAR130或140(图1)之类的LPAR。在方块236“等待响应”中,过程230等待来自对方块234中发送的信号的响应。一般而言,通过发送心跳会有三(3)种可能的结果:1)超时,2)指示正确的LPAR已做出响应的正确响应;或者3)可疑的响应。
在方块238“是否超时?”中,过程230判定是否足够的时间已过去而仍没有对方块234中发送的心跳的响应。如果诸如LPAR130或140之类的一个LPAR截获针对另一个的发送,则通常不会有任何一个LPAR对心跳做出响应。如果过程230判定已发生超时,则控制会进行到转换点“A”,将在下面参考图5对此做出更详细地介绍。如果未检测到超时,则控制进行到方块240“是否为正确响应?”,在其中,过程230判定已接收的心跳是否适合于为该心跳所预期的特定LPAR130或140。如果发生欺骗,例如LPAR130截获预期为LPAR140的通信,则LPAR130无法对心跳做出正确的响应,因为欺骗性LPAR130没有被冒名LPAR140的必要唯一会话密钥。
如果过程230检测到对方块234中所发送心跳的不正确或不适当的响应,则控制进行到转换点“B”,将在下面参考图6对此做出更详细地介绍。如果过程230在方块240判定已接收到正确的心跳,或者在与转换点A和B关联且经过转换点C的过程已完成之后,过程230进行到方块242“重置计数”,在其中,过程230重置与作为心跳发送目标的LPAR关联的计数(参见图5)。在方块244“移到下一LPAR”中,过程230选择另一LPAR,返回方块134并且处理如上面描述的那样继续。下一LPAR的选择可以基于循环方案或另一方案。例如,选择可依赖于优先级方案或基于检测到特定LPAR的可能问题。
最后,过程230通过异步中断248停止,该中断将控制传递到方块249“结束操作HBGM”,过程230在此完成。中断248通常在过程230作为其一部分的OS、VIOS或HBGM本身被系统管理员显式停止或因为断电情况而停止时产生。在正常操作期间,过程230连续循环执行方块234、236、238、240、242和244,将心跳发送到每个被保护设备。
图5是与图4中的操作HBGM过程230关联的异常处理代码的一个示例250的流程图。处理代码250从转换点A(图4)开始并立即进行到方块262“递增计数”。在方块252中,处理代码250递增与作为心跳发送目标的LPAR关联的计数参数。在方块264“计数>阈值?”中,过程代码250判定计数是否超过预设参数(参见图2中的182)。参数的值可设为“1”以指示在检测到单个丢失的心跳时采取行动,或者根据所需的系统灵敏度设为某一更大的值。如果计数超过允许的计数,则控制进行到转换点B(图4),将在下面参考图6对此做出更详细地介绍。如果计数未超过阈值,则控制进行到转换点C(图4),并且控制返回到过程230(图4)。
图6是与图4中的操作HBGM过程230关联的异常处理代码的第二示例260的流程图。处理代码260从转换点B(图4)开始并立即进行到方块262“通知管理程序管理控制台(HMC)”。在方块262中,处理代码260将带有已发生异常事件的指示的通知发送到HMC104(图1)。此时,系统管理员可以决定调查。在方块264“准备IPsec/ESP心跳(HB)”中自动响应开始执行。在方块264中,VIOS120(图1)针对目标系统准备IPsec/ESP心跳。但是,媒体访问控制(MAC)地址被设为疑似欺骗性设备的MAC地址。由于该MAC地址不是IPsec/ESP包的一部分,因此欺骗性设备将能够对心跳做出响应,而原始目标将不能。换言之,被发送的心跳被设计为除非被欺骗性设备接收到,否则失败。当然,欺骗性设备将无法做出此判定,因此会对心跳做出响应,从而暴露了攻击。
在方块266“是否接收到确认?”中,处理代码260判定是否已接收到确认心跳。如果是,则控制进行到方块268“通知发生欺骗事件”,在其中,HBGM128(图1和2)通知HMC104已确认发生在方块262中警告HMC104的欺骗攻击。如果否,则在方块270“通知无欺骗”中,通知HMC104在方块262发送的警告已解决。最后,处理代码260进行到转换点C(图4),并且控制返回到过程230。
在此使用的术语仅出于描述特定实施例的目的,并非对本发明进行限制。如在此使用的,单数形式的“一”、“一个”和“所述”旨在也包括复数形式,除非上下文另外明确指出。将进一步理解的是,当在本说明书中使用时,术语“包括”和/或“包含”指定存在所述特性、整体、步骤、操作、元件和/或组件,但并不排除存在或附加一个或多个其他特性、整体、步骤、操作、元件、组件和/或由此构成的组。
下面权利要求中的所有装置或步骤加功能元件的对应结构、材料、操作和等同物旨在包括用于与如具体声明的其他所声明的元件结合执行所述功能的任何结构、材料或操作。出于说明和描述目的给出了对本发明的描述,但是所述描述并非旨在是穷举的或是将本发明限于所公开的形式。在不偏离本发明的范围的情况下,许多修改和变化对于本领域的技术人员来说都将是显而易见的。实施例的选择和描述是为了最佳地解释本发明的原理、实际应用,并且使得本领域的其他技术人员能够理解本发明的适合于所构想的特定使用的具有各种修改的各种实施例。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
Claims (10)
1.一种用于欺骗检测的方法,包括:
建立多个密码安全通道,每个通道位于监视设备和多个被监视设备中的一个对应的被监视设备之间,所述多个被监视设备中的每个被监视设备与多个地址中的唯一的对应地址关联;
通过多个安全通道中对应于所述多个被监视设备中的第一被监视设备的第一安全通道将第一心跳从所述监视设备发送到所述第一被监视设备;
确定没有接收到对所述第一心跳的响应或接收到不恰当的响应;
响应于确定未接收到对所述第一心跳的响应或接收到不恰当的响应,则执行欺骗检测方案,包括:
通过与第二被监视设备关联的所述唯一的对应地址将第二IPsec/ESP心跳发送到所述第一被监视设备,其中所述第二IPsec/ESP心跳被设计为只有欺骗性设备能够做出响应;
接收对所述第二IPsec/ESP心跳的响应;以及
响应于接收到对所述第二IPsec/ESP心跳的响应,判定已发生欺骗攻击。
2.如权利要求1中所述的方法,其中所述被监视设备是计算设备的逻辑分区。
3.如权利要求1中所述的方法,其中所述监视设备是计算设备的虚拟输入/输出服务器。
4.如权利要求1中所述的方法,进一步包括响应于未接收到对所述第二IPsec/ESP心跳的响应,判定所述第一安全通道断开。
5.如权利要求1中所述的方法,其中所述密码安全通道基于互联网密钥交换/互联网协议安全封包协议。
6.一种用于欺骗检测的系统,包括:
用于建立多个密码安全通道的装置,每个通道位于监视设备和多个被监视设备中的一个对应的被监视设备之间,每个被监视设备与多个地址中的唯一的对应地址关联;
用于通过多个安全通道中对应于所述多个被监视设备中的第一被监视设备的第一安全通道将第一心跳从所述监视设备发送到所述第一被监视设备的装置;
用于确定没有接收到对所述第一心跳的响应或接收到不恰当的响应的装置;
用于响应于确定未接收到对所述第一心跳的响应或接收到不恰当的响应,则执行欺骗检测方案的装置,包括:
用于通过与第二被监视设备关联的所述唯一的对应地址将第二IPsec/ESP心跳发送到所述第一被监视设备的装置,其中所述第二IPsec/ESP心跳被设计为只有欺骗性设备能够做出响应;
用于接收对所述第二IPsec/ESP心跳的响应的装置;以及
用于响应于接收到对所述第二IPsec/ESP心跳的响应,判定已发生欺骗攻击的装置。
7.如权利要求6中所述的系统,其中所述被监视设备是计算设备的逻辑分区。
8.如权利要求6中所述的系统,其中所述监视设备是计算设备的虚拟输入/输出服务器。
9.如权利要求6中所述的系统,进一步包括用于响应于未接收到对所述第二IPsec/ESP心跳的响应,判定所述第一安全通道断开的装置。
10.如权利要求6中所述的系统,其中所述密码安全通道基于互联网密钥交换/互联网协议安全封包协议。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/647,345 | 2009-12-24 | ||
| US12/647,345 US9088609B2 (en) | 2009-12-24 | 2009-12-24 | Logical partition media access control impostor detector |
| PCT/EP2010/069149 WO2011076567A1 (en) | 2009-12-24 | 2010-12-08 | Logical partition media access control impostor detector |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102668502A CN102668502A (zh) | 2012-09-12 |
| CN102668502B true CN102668502B (zh) | 2015-03-25 |
Family
ID=43759740
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080058140.4A Active CN102668502B (zh) | 2009-12-24 | 2010-12-08 | 一种用于欺骗检测的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US9088609B2 (zh) |
| EP (1) | EP2517433B1 (zh) |
| JP (1) | JP5754712B2 (zh) |
| CN (1) | CN102668502B (zh) |
| CA (1) | CA2783394C (zh) |
| WO (1) | WO2011076567A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9088609B2 (en) | 2009-12-24 | 2015-07-21 | International Business Machines Corporation | Logical partition media access control impostor detector |
| US10171500B2 (en) * | 2012-12-28 | 2019-01-01 | Intel Corporation | Systems, apparatuses, and methods for enforcing security on a platform |
| WO2016049833A1 (en) | 2014-09-30 | 2016-04-07 | Hewlett-Packard Development Company, L.P. | Preventing mac spoofing |
| CN104468519B (zh) * | 2014-11-12 | 2017-10-27 | 成都卫士通信息产业股份有限公司 | 一种嵌入式电力安全防护终端加密装置 |
| US9983917B2 (en) | 2015-11-30 | 2018-05-29 | International Business Machines Corporation | Monitoring and responding to operational conditions of a logical partition from a separate logical partition |
| CN112217685B (zh) * | 2019-07-11 | 2022-03-25 | 奇安信科技集团股份有限公司 | 隧道探测方法、终端设备、系统、计算机设备和存储介质 |
| US12021897B2 (en) | 2021-11-08 | 2024-06-25 | International Business Machines Corporation | Endpoint and remote server protection |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267312A (zh) * | 2008-04-30 | 2008-09-17 | 中兴通讯股份有限公司 | 一种网络中防止地址冲突检测欺骗的方法 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6226744B1 (en) * | 1997-10-09 | 2001-05-01 | At&T Corp | Method and apparatus for authenticating users on a network using a smart card |
| US6715098B2 (en) * | 2001-02-23 | 2004-03-30 | Falconstor, Inc. | System and method for fibrechannel fail-over through port spoofing |
| JP2002323986A (ja) * | 2001-04-25 | 2002-11-08 | Hitachi Ltd | コンピュータリソース流通システム及び方法 |
| US7360245B1 (en) * | 2001-07-18 | 2008-04-15 | Novell, Inc. | Method and system for filtering spoofed packets in a network |
| US7134012B2 (en) * | 2001-08-15 | 2006-11-07 | International Business Machines Corporation | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
| US7213065B2 (en) * | 2001-11-08 | 2007-05-01 | Racemi, Inc. | System and method for dynamic server allocation and provisioning |
| US7565495B2 (en) * | 2002-04-03 | 2009-07-21 | Symantec Corporation | Using disassociated images for computer and storage resource management |
| US7370194B2 (en) * | 2002-06-10 | 2008-05-06 | Microsoft Corporation | Security gateway for online console-based gaming |
| US20040268079A1 (en) * | 2003-06-24 | 2004-12-30 | International Business Machines Corporation | Method and system for providing a secure rapid restore backup of a raid system |
| US7701858B2 (en) * | 2003-07-17 | 2010-04-20 | Sensicast Systems | Method and apparatus for wireless communication in a mesh network |
| CA2435655A1 (en) * | 2003-07-21 | 2005-01-21 | Symbium Corporation | Embedded system administration |
| US7188198B2 (en) * | 2003-09-11 | 2007-03-06 | International Business Machines Corporation | Method for implementing dynamic virtual lane buffer reconfiguration |
| GB0405245D0 (en) * | 2004-03-09 | 2004-04-21 | Ibm | Key-based encryption |
| US8059551B2 (en) * | 2005-02-15 | 2011-11-15 | Raytheon Bbn Technologies Corp. | Method for source-spoofed IP packet traceback |
| US7386698B2 (en) * | 2005-05-12 | 2008-06-10 | International Business Machines Corporation | Apparatus and method for automatically defining, deploying and managing hardware and software resources in a logically-partitioned computer system |
| US8082586B2 (en) | 2005-11-22 | 2011-12-20 | International Business Machines Corporation | Snoop echo response extractor |
| JP4768547B2 (ja) | 2006-08-18 | 2011-09-07 | 富士通テレコムネットワークス株式会社 | 通信装置の認証システム |
| US8359646B2 (en) * | 2007-07-12 | 2013-01-22 | International Business Machines Corporation | Ensuring security of connection between thin client and client blade |
| US8312456B2 (en) * | 2008-05-30 | 2012-11-13 | International Business Machines Corporation | System and method for optimizing interrupt processing in virtualized environments |
| US8387114B2 (en) * | 2009-01-02 | 2013-02-26 | International Business Machines Corporation | Secure workload partitioning in a server environment |
| US8032641B2 (en) * | 2009-04-30 | 2011-10-04 | Blue Coat Systems, Inc. | Assymmetric traffic flow detection |
| US9141489B2 (en) * | 2009-07-09 | 2015-09-22 | Uniloc Luxembourg S.A. | Failover procedure for server system |
| US8441349B1 (en) * | 2009-09-04 | 2013-05-14 | Lockheed Martin Corporation | Change detection in a monitored environment |
| US9088609B2 (en) | 2009-12-24 | 2015-07-21 | International Business Machines Corporation | Logical partition media access control impostor detector |
-
2009
- 2009-12-24 US US12/647,345 patent/US9088609B2/en active Active
-
2010
- 2010-12-08 WO PCT/EP2010/069149 patent/WO2011076567A1/en active Application Filing
- 2010-12-08 CA CA2783394A patent/CA2783394C/en active Active
- 2010-12-08 JP JP2012545207A patent/JP5754712B2/ja active Active
- 2010-12-08 CN CN201080058140.4A patent/CN102668502B/zh active Active
- 2010-12-08 EP EP10790412.0A patent/EP2517433B1/en active Active
-
2012
- 2012-05-08 US US13/466,678 patent/US9130987B2/en not_active Expired - Fee Related
-
2015
- 2015-07-15 US US14/799,631 patent/US9491194B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267312A (zh) * | 2008-04-30 | 2008-09-17 | 中兴通讯股份有限公司 | 一种网络中防止地址冲突检测欺骗的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9130987B2 (en) | 2015-09-08 |
| US20150319145A1 (en) | 2015-11-05 |
| CN102668502A (zh) | 2012-09-12 |
| US9088609B2 (en) | 2015-07-21 |
| US20120222113A1 (en) | 2012-08-30 |
| US20110161653A1 (en) | 2011-06-30 |
| EP2517433B1 (en) | 2017-06-21 |
| WO2011076567A1 (en) | 2011-06-30 |
| JP2013516097A (ja) | 2013-05-09 |
| JP5754712B2 (ja) | 2015-07-29 |
| EP2517433A1 (en) | 2012-10-31 |
| US9491194B2 (en) | 2016-11-08 |
| CA2783394A1 (en) | 2011-06-30 |
| CA2783394C (en) | 2019-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102668502B (zh) | 一种用于欺骗检测的方法和系统 | |
| US10445272B2 (en) | Network function virtualization architecture with device isolation | |
| CN111092869B (zh) | 终端接入办公网络安全管控方法及认证服务器 | |
| US9432360B1 (en) | Security-aware split-server passcode verification for one-time authentication tokens | |
| CN102999716B (zh) | 虚拟机器监控系统及方法 | |
| US20130298219A1 (en) | Secure Layered Iterative Gateway | |
| JP2016541082A (ja) | 接続管理方法、装置、電子設備、プログラム、及び記録媒体 | |
| CN108681677A (zh) | 基于usb接口安全隔离双网计算机的方法、装置及系统 | |
| CN112615858B (zh) | 物联网设备监控方法、装置与系统 | |
| CN115134344B (zh) | 一种虚拟机控制台的控制方法及组件 | |
| CN104573591B (zh) | 一种安全读卡器及其工作方法 | |
| CN108376290A (zh) | 一种金融自助设备维护的控制方法、装置及服务器 | |
| CN112987942A (zh) | 键盘输入信息的方法、装置、系统、电子设备和存储介质 | |
| US10091204B1 (en) | Controlling user access to protected resource based on outcome of one-time passcode authentication token and predefined access policy | |
| CN113986470B (zh) | 一种用户无感知的虚拟机批量远程证明方法 | |
| US10673832B2 (en) | Predefined access policy implementation based on auxiliary information embedded in one-time authentication passcodes | |
| CN103476025B (zh) | 进程管理方法及系统、移动终端 | |
| CN110311882B (zh) | 一种网络设备用户密码的安全管理方法及装置 | |
| CN109246148A (zh) | 报文处理方法、装置、系统、设备和计算机可读存储介质 | |
| CN105391741A (zh) | 一种接入设备的安全控制方法、设备及系统 | |
| Liang et al. | Collaborative intrusion detection as a service in cloud computing environment | |
| CN115118751B (zh) | 一种基于区块链的监管系统、方法、设备和介质 | |
| CN106856481B (zh) | 一种基于透明计算的网络隔离方法、系统、网卡及应用 | |
| CN106302387A (zh) | 一种计算机网络安全的管理系统 | |
| CN106097600A (zh) | 基于atl的设备管理方法、系统和金融自助设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |